Вирус мгновенно изменяет антивирусные и т.п. exe-файлы
Предистория: запущен exe-файл с вирусом. Через нек. время комп сам перегрузился, блокирована сеть. Сеть восстановлена отключением в службах msconfig "Remote Packet capture protocol V0 (experimental)" - вроде в нем проблема была (?).
Сейчас вирус "мониторит" все диски и мгновенно изменяет все антивирусные exe-файлы, в т.ч. фаервол - outpost.exe, так, что при запуске пояляется сообщение вида "C:\..\...exe не является приложением Win32". Время изменения всех exe антивирусных файлов - текущее системное. Остальные (не антивирусные) программы работают нормально.
Невозможно даже заменить отдельные файлы (outpost.exe, ...) или запустить AVZ (т.к. файлы мгновенно изменяются), скачать HiJackThis - при скачке exe-файла браузер сразу же "вылетает".
Также идет постоянный обмен пакетами по сети при отключенном браузере.
При запуске в дисп. задач немного висят подозрительные
winupgro.exe
agent.exe
is-JP6A8.tmp
и потом исчезают.
Помогите решить проблему.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вручную удалил с помощью коммандера в LiveCD следующие файлы (были отмечены как подозрительные при сканировании OSAM):
C:\Windows\system32\srnh.lto
C:\WINDOWS\system32\wfsintwq.sys
C:\Documents and Settings\Egor\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Egor\Application Data\m\flec006.exe
В последней строке удалил всю папку "m" (в ней все файлы изменены в момент заражения). В результате сейчас при загрузке windows в любом режиме комп уходит в перезагрузку. Как мне запустить сейчас виндовз?
Сканер c LiveCD после удаления указанных файлов ничего больше не нашел.
Также появилаь папка c:\Program Files\e с кучей якобы zip-архивов программ - результат работы вируса
Последний раз редактировалось Egorrr; 13.08.2010 в 17:34.
Причина: Добавлено
Сейчас виндовс вылетает с бсод CONFIG_LIST_FAILED 0x00000073
(0x00000001, 0xC000017D, 0x00000002, 0xF7374BB8 )
Лог-файл заархивировать нет возможности, вот ссылка на скачку html-файла: http://slil.ru/29560243
Или вложение - необходимо изменить расширение на html (это не архив, а html файл!)
Дак есть идея как виндовз реанимировать? Восстановить удаленные файлы?
Она с 2006 года стоит... =)
Никаких идей по восстановлению нет?..
Последний раз редактировалось AndreyKa; 15.08.2010 в 12:21.
Проще восстановить систему, которой 4 года и на ней огромная куча всего
Chkdsk нашел файл реестра "...config\software.log" (был общий кластер). Поэтому BSOD показывал ошибку (...0xC000017D...) - "не хватает места на диске".
Теперь система загружается и все спокойно (повреждены фаервол, DrWeb и daemon как минимум), произвел сканирование AVZ и HJ.
Но удаленный winupgro.exe при перезагрузке, естественно, появляется в
C:\Documents and Settings\Egor\Application Data\drivers\winupgro.exe
Какие дальнейшие действия по поиску вируса?
Последний раз редактировалось Egorrr; 14.08.2010 в 01:35.
При запуске combofix сделал окошко с пустой ошибкой "Ошибка OK", комп перегрузился и сканер попросил скачать (включить) восстановление системы. Я отказался.
При сканировании, некий процесс PEV.cfxxe выдал - "обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства."
Извинения за "неудобства" не приняты.
После работы combofix начал работать брандмауэр Windows, который очень давно был отключен o.O
Последний раз редактировалось Egorrr; 14.08.2010 в 01:27.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: